Чем опасен интернет-банкинг?

К такому выводу пришла группа исследователейиз Мичиганского университета (США) во главе с профессором АтуломПракашем. Он и его аспиранты Лаура Фалк и Кевин Бордерс на протяжении2006 года изучили 214 веб-сайтов различных кредитно-финансовыхучреждений.

Результаты работы будут представлены на симпозиуме, посвященномпрактической конфиденциальности и безопасности, который пройдет вУниверситете Карнеги Меллон 25 июля.

Упомянутые недочеты в дизайне сайтов не являются программнымиошибками, и их нельзя исправить с помощью "заплатки". Их корень кроетсяв самой работе сайта и в его планировке. В число подобных недочетоввходит размещение полей для авторизации и контактной информации нанезащищенных страницах и неспособность удержать пользователя на сайте,на который он изначально зашел. По словам профессора Пракаша, несмотряна то, что с момента сбора данных прошло много времени и некоторыебанки уже предприняли ряд шагов для исправления сложившейся ситуации,большинству еще только предстоит это сделать.

"К нашему изумлению, недочеты дизайна, ставящие под угрозубезопасность данных, были настолько широко распространены, что их можнобыло встретить даже на сайтах очень крупных банков, - рассказываетПракаш. - Мы сконцентрировали внимание на тех случаях, когдапользователи старались проявлять осторожность, но структура сайта банкасделала практически невозможным принятие правильного, с точки зрениябезопасности, решения во время проведения банковских операций онлайн".

Недочеты привели к тому, что в системе безопасностиобразовались "дыры", которыми могут воспользоваться хакеры для того,чтобы завладеть частной информацией клиентов и получить доступ к ихсчетам.

Сайт Мичиганского университета перечисляет пять основных ошибокдизайна банковских сайтов, на которые, по версии профессора Пракаша,нужно обратить особое внимание.

1. Размещение полей для авторизации на незащищенных страницах.

Подобная ошибка встретилась у 47% банковских сайтов, изученныхамериканскими специалистами. Используя ее, хакер может перенаправитьвводимые данные или создать поддельную копию банковского сайта длясбора информации о клиентах банка. Кроме того, у хакера появляетсявозможность проводить атаки типа "злоумышленник в середине"(man-in-the-middle), когда для пользователя адрес банка, отображаемый впрограмме просмотра не изменяется. В результате даже самые бдительныепользователи могут стать жертвами преступника. Решение проблемы кроетсяв использовании протокола SSL на тех страницах, которые запрашиваютввод конфиденциальной информации. Пользователь может узнать защищеннуюпротоколом страницу по адресу, который начинается с букв https, а не собычных http.

2. Размещение контактной информации банковских служб на незащищенных страницах.

Этот недочет встречался в 55% всех случаев. Злоумышленник имеетвозможность изменить адрес или телефонный номер call-центра с тем,чтобы организовать сбор частной информации у клиентов банка, которымтребуется помощь. Банки проявляют недостаточно внимания к информации,которая является общедоступной и которую можно получить в другихместах. В тоже время клиенты банка уверены, что информация,расположенная на интернет-странице банка является правильной. Именнопоэтому профессор Пракаш рекомендует и в этом случае для защитыинформации использовать протокол SSL.

3. Брешь в цепочке "доверенных" партнеров.

В случае, когда банк без предупреждения перенаправляетпользователя на интернет-страницы, расположенные вне домена,принадлежащего банку, он тем самым демонстрирует свою неспособностьсохранить у пользователя ощущение безопасности выполняемых операций.Около 30% банковских сайтов имеют подобный недочет, говорит профессорПракаш. Пользователи, видя, что они оказались на совершенно другомсайте, имеющем адрес, отличный от адреса сайта банка, вынуждены лишьстроить догадки о том, можно ли ему доверять. Чаще всего такая ситуациявозникает, если банк передает часть своих операций сторонниморганизациям. В таком случае следует информировать пользователя о том,что для продолжения той или иной операции они будут перенаправленны насайт другой организации.

4. Разрешение использовать не отвечающие требованиям безопасности имя пользователя и пароль.

Некоторые американские банки позволяют использовать в качествелогина для входа в банковскую систему номер карточки социальногострахования или адрес электронной почты. Несомненно, пользователям ихлегко запомнить, но злоумышленники так же легко могут их вычислить илиузнать где-либо еще. Другой довольно распространенной ошибкой являетсяотсутствие политики, касающейся созданию паролей или допущениеиспользования слабых паролей. Этим грешат 28% банковских сайтов,изученных профессором Пракашем и его коллегами.

5. Рассылка по электронной почте конфиденциальной информации в незащищенном виде.

Информация, передаваемая по электронной почте, в большинствеслучаев не защищена. Тем не менее, 31% банковских сайтов предлагает, вслучае необходимости, выслать по электронной почте пароль или выпискусо счета.

Что касается выписки, пользователя зачастую не извещали, будетли это непосредственно выписка, ссылка на нее или просто извещение, чтовыписка готова. Во всех случаях, кроме извещения, использованиеэлектронной почты представляется американским экспертам плохой идеей.